許多客戶在網(wǎng)站，以及APP上線的同時，都會提前的對網(wǎng)站進行全面的滲透測試以及安全檢測，提前檢測出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過程中出現(xiàn)重大的經(jīng)濟損失，前段時間有客戶找到我們SINE安全公司做滲透測試服務，在此我們將把對客戶的整個滲透測試過程以及安全測試，發(fā)現(xiàn)的漏洞都記錄下來，分享給大家，也希望大家更深地去了解滲透測試。
命令執(zhí)行的漏洞。應用程序的某些函數(shù)需要調用可以執(zhí)行系統(tǒng)命令的函數(shù)。如果這些功能或者功能的參數(shù)可以被用戶控制，那么惡意的命令就有可能通過命令連接器拼接成正常的功能，從而可以隨意執(zhí)行系統(tǒng)命令。這就是命令執(zhí)行漏洞，這是高風險漏洞之一。

當攻擊者通過API調用遍歷攻擊系統(tǒng)時，他們必須弄清楚可以發(fā)送些什么來獲取數(shù)據(jù)。攻擊者“信奉”這樣的一個事實：即越復雜的系統(tǒng)，出錯的地方越多。攻擊者識別出API后，他們將對參數(shù)進行分類，然后嘗試訪問管理員（垂直特權升級）或另一個用戶（水平特權升級）的數(shù)據(jù)以收集其他數(shù)據(jù)。通常，太多不必要的參數(shù)被暴露給了用戶。
在近的研究項目中，我們對目標服務的API調用返回了大量數(shù)據(jù)，很多都是不必要的數(shù)據(jù)信息，例如付款網(wǎng)關的處理器密鑰和可用的折扣信息等。這些“獎勵信息”使攻擊者可以更好地理解這些API調用的上下文和語法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數(shù)為攻擊者提供了豐富的攻擊數(shù)據(jù)集。解決方法：如果將用戶看到的內容范圍限制為必需內容，限制關鍵數(shù)據(jù)的傳輸，并使數(shù)據(jù)查詢結構未知，那么攻擊者就很難對他們知道的參數(shù)進行爆密。

能否理解并利用SQL注是區(qū)分一般攻擊者和攻擊者的一個標準。面對嚴密禁用詳細錯誤消息的防御，大多數(shù)新手會轉向下一目標。但攻破SQL盲注漏洞并非可能，我們可借助很多技術。它們允許攻擊者利用時間、響應和非主流通道（比如DNS)來提取數(shù)據(jù)。以SQL查詢方式提問一個返回TRUE或FALSE的簡單問題并重復進行上千次，數(shù)據(jù)庫王國的大門便通常不容易發(fā)現(xiàn)SQL盲注漏洞的原因是它們隱藏在暗處。一旦發(fā)現(xiàn)漏洞后，我們就會有們能支持多種多樣的數(shù)據(jù)庫。大量的漏洞可用。要明確什么時候應選擇基于響應而非時間的利用和什么時候使用重量級的非主流通道工具，這些細節(jié)可節(jié)省不少時間。考慮清楚大多數(shù)SQL盲注漏洞的自動化程度后，不管是新手還是，都會有大量的工具可用。它們中有些是圖形化界面，有些是命令行，它有了SQL注入和SQL盲注的基礎知識之后，現(xiàn)在轉向進一步利用漏洞：識別并利用一個不錯的注入點之后，如何快速發(fā)現(xiàn)注入并修復漏洞。

假如你是hack，準備攻擊一家企業(yè)，那么首先要做的件事就是識別盡可能多的API。我首先按常規(guī)方式使用目標應用程序，在瀏覽器中打開Web應用程序或者在手機端安裝移動應用程序，然后使用代理監(jiān)視通信。代理能夠捕獲瀏覽器或移動應用程序對后端Web服務器發(fā)出的所有請求，從而使攻擊者可以對所有可用的API端點進行分類。例如，大多數(shù)API都將API/V1/login作為身份驗證端點。
如果目標也是移動應用程序，則將應用程序包拆開，并查看應用程序內部可用的API調用。考慮到所有可能的活動，攻擊者可以搜索無確保護用戶數(shù)據(jù)的常見配置錯誤或API。后，攻擊者尋找API文檔。一些組織為第三方發(fā)布API文檔，但為所有用戶使用相同的API端點。有了一個不錯的端點清單，攻擊者就可以測試標準用戶行為和異常行為測試，可以通過兩種方法找到有趣的漏洞。
SINE安全網(wǎng)站漏洞檢測時必須要人工去審計漏洞和查找漏洞找出問題所在并修復漏洞，對各項功能都進行了全面的安全檢測。
http://4koz.com